遇到一个奇怪的问题。我有一个使用非域计算机的远程用户。他在 na.contoso.com 有一个域用户帐户。当他连接到 vpn 并尝试进行身份验证以访问 na.contoso.com 中的共享文件时,他能够成功完成此操作。当他尝试访问 la.contoso.com 中的共享文件时,他收到一条错误消息,提示他登录失败,未知用户和密码。这两个域之间存在主动信任,如果此用户正在使用 na.contoso.com 上的域计算机,他就可以毫无问题地访问 la.contoso.com 上的共享文件。
在非域计算机上,我尝试使用 la.contoso.com 上的服务器及其完整的 FQDN 和 IP 地址,同时使用用户域凭据作为域\用户名和[电子邮件保护]但它不起作用。你们能想到它不起作用的任何原因吗?提前谢谢。
答案1
我认为针对 SMB 共享的凭据与针对域中用户帐户的凭据存储在同一级别。当用户针对域验证 LOGIN PROFILE 时,登录会话期间的任何用户活动都会发出 Kerberos 密钥。但是当用户针对 SMB 共享进行身份验证时,不会为整个用户会话创建 Kerberos 密钥,而只会针对验证 SMB 共享服务器创建 Kerberos 密钥。
我不太确定我的描述,因为那是好几年前我们讨论过的一个完全相同的问题。但大致上,就是这样。
那么,该怎么办呢?建立 VPN 连接,将其标记为允许任何用户使用(客户端 VPN 连接属性下的最后一个选项卡),然后将计算机加入域。有时,由于 VPN 连接失败,计算机可能无法进行身份验证,但存储的登录信息有效期为 6 个月,这是它需要至少进行一次身份验证的时间范围,以将域登录缓存延长到接下来的 6 个月。这样,用户会话将作为一个整体进行身份验证,域信任将发挥作用。
答案2
尝试删除所有 VPN 连接。清除所有 cookie、文件等。重新启动计算机,然后尝试再次创建。有一次我设法用这种方式解决了这个问题